Sperimentazioni cliniche e normativa privacy
Il trattamento dei dati personali è, come noto, di fondamentale importanza nell’ambito delle sperimentazioni cliniche. Tuttavia, la normativa in materia è ad oggi alquanto frammentata, e pertanto presenta non poche incertezze ed ambiguità per gli operatori. Né il Regolamento (UE) n. 536/2014 sulle sperimentazioni cliniche, né il Regolamento (UE) 679/2016 (GDPR) prevedono infatti una disciplina specificamente il tema del trattamento dei dati personali nelle sperimentazioni cliniche. Utili indicazioni in proposito provengono dal Parere dell’EDPB del 2019. In Italia, l’ultimo intervento specifico in materia è rappresentato dalle Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del Garante Privacy del luglio 2008. Esaminiamo questo importante tema, alla luce della normativa applicabile.
1. Il quadro normativo
Il tema del trattamento dei dati personali è, come noto, di fondamentale importanza nell’ambito delle sperimentazioni cliniche, le quali devono tutelare i diritti, la sicurezza e la dignità di tutti i soggetti coinvolti.
I dati personali dei pazienti (comuni e sanitari) presentano rischi elevati, e necessitano pertanto di una tutela altrettanto elevata.
Tuttavia, la normativa in materia è ad oggi alquanto frammentata, e pertanto presenta non poche incertezze ed ambiguità per gli operatori.
Come è noto, la principale normativa in tema di trattamento di dati personali è contenuta nel Regolamento (UE) 679/2016 (il “GDPR”). Tuttavia, il Regolamento non contiene una specifica regolamentazione del trattamento dei dati personali per finalità e sulla raccolta del consenso relativo alla partecipazione alle sperimentazioni cliniche, rimanendo alla pertinente legislazione applicabile in tema di sperimentazioni cliniche (considerando 156 e 161 del GDPR).
La disciplina delle sperimentazioni cliniche in Europa è attualmente contenuta nel Regolamento (UE) n. 536/2014 (il “Regolamento”), entrato in vigore il 31 gennaio 2022, che ha abrogato la Direttiva 2001/20/CE. Tuttavia, neppure il Regolamento disciplina specificamente il tema del trattamento dei dati personali nelle sperimentazioni cliniche, limitandosi ad affermare che le ricerche cliniche devono essere condotte in conformità alla normativa applicabile in materia di protezione dei dati personali.
Sul tema si è pronunciato l’European Data Protection Board (EDPB) con il parere 3/2019 relativo alle domande e risposte sull’interazione tra il regolamento sulla sperimentazioni clinica e il regolamento generale sulla protezione dei dati (il “Parere“).
Sono altresì rilevanti le bozze di linee guida sulla trasparenza delle informazioni caricate sul Clinical Trial Information System (CTIS) – Guidance document on how to approach the protection of personal data and commercially confidential information in documents uploaded and published in the Clinical Trial Information System (“Guidance”) – pubblicate da EMA il 7 aprile 2022.
In Italia, le normative di attuazione del Regolamento, finora emanate (L. n.3/2018, D.lgs. n. 52/2019, decreti ministeriali) non hanno previsto specifiche disposizioni in materia di trattamento dei dati personali nell’ambito delle sperimentazioni cliniche. L’ultimo intervento specifico in materia è rappresentato dalle Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali del Garante Privacy del 24 luglio 2008 ( di seguito le “Linee Guida“).
2. Cosa prevede il GDPR
Il trattamento dei dati personali a scopo di ricerca, e in particolare di dati sensibili compresi i dati genetici, è regolato dall’art. 9 del GDPR, ai sensi del quale il trattamento “necessario a fini di ricerca scientifica” è permesso purché sia proporzionato alle finalità perseguite e siano adottate garanzie adeguate per i diritti e le libertà dell’interessato ai sensi dell’art. 89 del GDPR, quali la pseudonimizzazione. In alternativa il trattamento è possibile sulla base del consenso esplicito dell’interessato, raccolto per una o più finalità specifiche.
I trattamenti correlati alla ricerca, come precisato dal Garante Europeo nel Parere n. 3/2019 del 23 gennaio 2019 reso in tema di sperimentazione clinica, possono avere tre basi giuridiche alternative, in funzione delle circostanze complessive della ricerca;
- esecuzione di un compito di interesse pubblico a norma dell’art. 6, par. 1, lett. e) GDPR, in combinato disposto con l’art. 9, par. 2, lett. i) o j), GDPR;
- legittimo interesse del titolare del trattamento a norma dell’art. 6, par. 1, lett. f) GDPR, ikn combinato disposto con l’art. 9, par. 2, lett. j) GDPR;
- in circostanze specifiche, e purché siano soddisfatte tutte le condizioni applicabili, consenso esplicito dell’interessato a norma dell’art. 6, par. 1, lett. a), e dell’art. 9, par. 2, lett. a) GDPR.
Qualora il trattamento dei dati trovi la sua base giuridica nel consenso, questo può sempre essere revocato dall’interessato, con la conseguenza che tutte le attività di ricerca svolte con i dati della sperimentazione clinica relativi a tale persona dovranno cessare senza, tuttavia, compromettere i trattamenti che si fondino su altre basi giuridiche e, in particolare, sugli obblighi legali cui è soggetto chi svolge la ricerca. In altri termini, in assenza di altra base giuridica legittimante, ogni trattamento ulteriore e successivo al ritiro del consenso è illegittimo ed il titolare è obbligato all’immediata cancellazione di tutti i dati personali dell’interessato, fatto salvo il trattamento per le finalità di affidabilità e garanzia della sicurezza dei prodotti
Ai sensi dell’art. 6 par.1, lett e) del GDPR, il trattamento dei dati personali è lecito qualora necessario per l’esecuzione di un interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Il par. 3, inoltre, prevede che tale base è stabilita dal diritto dell’Unione o dal diritto di uno Stato membro e che la finalità del trattamento deve essere determinata in tale base giuridica.
Il trattamento dei dati personali nel contesto delle sperimentazioni cliniche può, quindi, essere considerato necessario, come precisato dal Garante Europeo, per l’esecuzione di un compito di interesse pubblico quando la conduzione delle sperimentazioni cliniche rientri direttamente nella mission o nelle funzioni di un organismo pubblico o privato a norma del diritto nazionale
Viceversa, con riferimento ai dati particolari, l’art. 9, par. 2 del GDPR, stabilisce che il trattamento è consentito se necessario «i) per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale» ovvero «j) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’art. 89, par. 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato».
Innovativa, infine, la base legittimante il trattamento dei dati personali introdotta alla lett. f) dell’art. 6, par. 1 GDPR, ai sensi del quale il trattamento è consentito se «necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore». Tale strada è percorribile laddove gli interessi dell’interessato non prevalgano sugli interessi legittimi del titolare del trattamento e tenendo conto, altresì, di quanto previsto nel considerando 47 laddove, trattando dei fattori che devono essere presi in considerazione per stabilire se sussista o meno una idonea base giuridica, esclude che l’interesse legittimo possa essere utilizzato come base giuridica da soggetti pubblici.
A livello nazionale, il legislatore ha deciso di avvalersi della facoltà prevista dall’art. 9 comma 4 del GDPR di introdurre misure più restrittive, e con gli artt. 110 e 110-bis del Codice Privacy ha ritenuto di basare il trattamento dei dati a fini di ricerca scientifica sul consenso dell’interessato oppure – ove questo non sia possibile – su di una serie di oneri procedurali, fra i quali l’obbligo di preventiva consultazione con il Garante, già previsto dall’art. 36 del GDPR (o addirittura una preventiva autorizzazione, con il meccanismo del silenzio-rigetto).
In particolare, ai sensi dell’art. 110 del Codice Privacy, il trattamento dei dati a fini di ricerca scientifica è possibile in assenza del consenso dell’interessato, alternativamente qualora:
- Il trattamento è effettuato in base a disposizioni di legge, regolamento o in forza del GDPR (art. 9, par. 2, lett. j), ed è condotta e resa pubblica una valutazione di impatto (situazione che legittima trattamenti da parte di strutture pubbliche e private sulla base di specifiche norme di legge);
- risulti impossibile informare gli interessati o comunque eccessivamente oneroso o ancora rischi di pregiudicare le finalità della ricerca, purché: a) siano adottate misure appropriate a tutelare i diritti e le libertà degli interessati, b) il programma di ricerca sia oggetto di parere favorevole del competente comitato etico e c) il programma sia sottoposto a preventiva consultazione del Garante ai sensi dell’art. 36 del GDPR.
3. Natura dei dati e pseudonimizzazione
Le Linee Guida del Garante Privacy, sebbene adottate prima dell’entrata in vigore del GDPR, sono ancora oggi applicabili laddove compatibili con le disposizioni del GDPR, e rappresentano quindi ancora un punto di riferimento per il trattamento dei dati personali nell’ambito delle sperimentazioni cliniche.
Secondo le Linee Guida, nell’ambito delle sperimentazioni cliniche i promotori dello studio hanno l’obbligo di codificare i dati personali e particolari appartenenti ai partecipanti allo studio.
In proposito, il GDPR ha introdotto la misura della pseudonimizzazione, consistente nel “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4 n. 5 del GDPR.
Come descritto nelle Linee Guida, sono gli stessi medici sperimentatori che provvedono a pseudonimizzare i dati medico/clinici delle persone coinvolte nello studio, mediante codici numerici che consentono di identificare univocamente i singoli interessati all’interno dello stesso studio, senza utilizzare il nominativo, l’indirizzo o numeri di identificazione personale.
Secondo il considerando 26 del GDPR, è auspicabile applicare i principi di protezione dei dati a tutte le informazioni relative a una persona fisica identificata o identificabile; i dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l’utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. I dati personali pseudonimizzati possono quindi sempre portare all’identificazione di una persona, a differenza dei dati anonimizzati, che- in assenza del meccanismo di codificazione/ decodificazione- non permettono l’identificazione dell’interessato.
Nell’ambito delle sperimentazioni cliniche, il promotore (o sponsor) affida generalmente lo svolgimento e il monitoraggio di uno studio clinico a un “monitor” (Clinical Research Associate, CRA), il quale segue la sperimentazione per conto del promotore, visitando i centri coinvolti nello studio e interagendo attivamente con i medici sperimentatori.
Il promotore non può identificare il partecipante allo studio, in quanto i dati trattati sono pseudonimizzati, mentre il monitor-che ha accesso a tutta la documentazione sanitaria originale dei partecipanti, nonché alla lista contenente i loro dati personali- segue lo studio clinico sotto la stretta osservazione dei medici sperimentatori, perseguendo una rilevazione (o visualizzazione) dei dati personali senza registrazione o conservazione (che potrebbero inficiare la pseudonimizzazione).
4. I soggetti del trattamento
Nell’ambito delle sperimentazioni cliniche è fondamentale, anche alla luce di quanto disposto dal GDPR, delineare i soggetti, che hanno competenza in materia di protezione dei dati personali, sulla base della determinazione delle finalità e delle modalità del trattamento. Tra di essi, vengono in rilievo anzitutto il promotore (sponsor) e il centro di sperimentazione.
Secondo il Parere, in linea generale il promotore e il centro di sperimentazione determinano congiuntamente la finalità e i mezzi essenziali del trattamento dei dati personali relativi ai test clinici, condividendo la stesura del protocollo di studio; di conseguenza, essi possono essere considerati come contitolari del trattamento, ai sensi dell’art. 26 del GDPR. Qualora, invece, il protocollo sia predisposto esclusivamente dallo sponsor, questi si configura come titolare del trattamento, mentre il centro di sperimentazione come responsabile.
5. Le informazioni sul trattamento dei dati
Le informazioni sul trattamento dei dati personali rappresentano un principio fondamentale del GDPR, in quanto il partecipante allo studio clinico deve avere contezza circa i suoi dati personali, i diritti che egli possiede su di loro e il loro esercizio nei confronti del Titolare o Responsabile del trattamento.
Le Linee Guida prevedono che le informazioni da fornire agli interessati tramite i centri di sperimentazione devono comprendere, anche con formule sintetiche, ma comunque agevolmente comprensibili, indicazioni specifiche relative a:
- la natura dei dati trattati dal promotore e la circostanza che tali dati vengono tramessi all’estero;
- il ruolo effettivamente svolto dal promotore riguardo al trattamento dei dati e le finalità e modalità di quest’ultimo;
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati o di responsabili;
- l’esercizio del diritto d’accesso e gli altri diritti in materia di dati personali nei confronti del promotore e degli altri soggetti eventualmente destinatari dei dati.
Ai sensi dell’art. 12 del GDPR, è necessario utilizzare:
- un linguaggio semplice e chiaro con una forma intellegibile, ossia comprensibile “dall’uomo medio” e, quindi, dalla maggior parte dei partecipanti allo studio;
- una forma concisa, che incoraggi il partecipante allo studio alla lettera;
- una forma trasparente;
- una forma facilmente accessibile.
In base all’art. 13 del GDPR, le informazioni sul trattamento dei dati personali devono contenere:
- l’identità e i dati di contatto del Titolare del trattamento (sempre aggiornati);
- ove presente, i dati di contatto del Responsabile della Protezione dei Dati Personali (DPO-Data Protection Officer);
- le finalità del trattamento effettivamente perseguite nello studio clinico per il trattamento dei dati personali;
- la base giuridica (v. par.9);
- i destinatari del trattamento, ossia la persona fisica, giuridica, autorità pubblica o organismo riceve comunicazione dei dati personali; si può far riferimento a soggetti interni (es. CRC/CRA), o soggetti esterni che effettuano trattamenti per conto del promotore / centro di sperimentazione (es. CRO) ovvero Enti pubblici; in ogni caso è necessario specificare almeno la categoria di riferimento dei destinatari;
- il trasferimento all’estero di dati verso paesi terzi o organizzazioni internazionali;
- il periodo di conservazione dei dati o i criteri utilizzati per determinarne il periodo, per le diverse tipologie di dati trattati (anagrafici, salute, genetici ecc.). In proposito, le Linee Guida specificano che i dati devono essere conservati presso i soggetti esterni che eventualmente collaborano con il promotore per la gestione e l’analisi statistica, per il solo periodo di tempo non superiore a quello necessario per definire il rapporto finale della sperimentazione o pubblicare i risultati dello studio; inoltre, i promotori di uno studio clinico possono utilizzare lecitamente in future attività di studio e di ricerca i dati e i campioni biologici riconducibili a ciascuna delle persone coinvolte, anche avvalendosi dei soggetti esterni che hanno collaborato con essi per l´esecuzione della sperimentazione, a condizione che gli interessati ne siano stati previamente e adeguatamente informati e abbiano manifestato per iscritto un consenso specifico e distinto rispetto a quello manifestato per lo studio principale;
- i diritti sui dati personali (v. par. 5).
Il Garante afferma inoltre che nelle ipotesi in cui lo studio preveda il trattamento di informazioni genetiche (ad esempio, nelle indagini farmacogenetiche o farmacogenomiche) tali elementi devono essere integrati da indicazioni chiare in ordine a profili specifici dell’utilizzo di dati genetici e di campioni biologici.
Infine, il Garante afferma che i centri di sperimentazione devono garantire che il personale coinvolto nelle sperimentazioni cliniche e, in particolare, nei colloqui preliminari volti all’acquisizione del consenso informato, sia formato adeguatamente anche sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, in modo da essere in grado di spiegare accuratamente e con completezza agli interessati gli elementi essenziali riguardanti il trattamento dei dati. I promotori, nell’individuare i centri presso i quali condurre sperimentazioni cliniche, devono verificare l’adeguatezza del personale del centro a gestire tale procedura predisponendo, ove necessario, appositi interventi formativi. Il profilo della formazione andrebbe considerato anche dai comitati etici nelle valutazioni relative all’idoneità del medico sperimentatore e dei suoi collaboratori.
6. I diritti sui dati personali e il loro esercizio
I partecipanti alle sperimentazioni cliniche possono esercitare in ogni momento i diritti relativi al trattamento dei loro dati personali.
Ai sensi dell’art. 15 del GDPR il partecipante allo studio ha il diritto di ottenere (gratuitamente) dal Titolare del trattamento la conferma che è in atto – o meno – un trattamento di dati personali che lo riguarda, di ottenere l’accesso a questi dati ed alcune informazioni già previste (e garantite) nelle informazioni sul trattamento dei dati personali.
Ai sensi dell’art. 16 del GDPR il partecipante allo studio ha il diritto di ottenere la rettifica di dati personali inesatti ovvero l’integrazione di dati personali incompleti.
Ai sensi dell’art. 17 del GDPR il partecipante allo studio ha il diritto alla cancellazione dei suoi dati nel caso che (a suo avviso) non siano più necessari rispetto alle finalità di raccolta:
- nel caso revochi il suo consenso e manchino altre basi giuridiche valide; nel caso il partecipante allo studio si opponga al trattamento e non vi siano altri motivi legittimi per procedere con lo stesso;
- nel caso i dati siano trattati illecitamente da parte del Titolare del trattamento;
- nel caso i dati debbano essere cancellati per adempiere ad un obbligo di legge cui è soggetto il Titolare del trattamento.
In tutti questi casi il Titolare del trattamento deve procedere alla cancellazione di tali dati (a prescindere se su supporto elettronico o cartaceo) senza ingiustificato ritardo.
Non si applica il diritto alla cancellazione quando:
- quando vi è un obbligo di legge da rispettare, un compito da svolgere nel pubblico interesse ovvero l’esercizio di pubblici poteri cui può essere investito il Titolare del trattamento;
- quando vi sono motivi di interesse pubblico nel settore della sanità pubblica (es. trattamento necessario per finalità di medicina preventiva, medicina del lavoro, diagnosi, assistenza, terapia sanitaria ecc.);
- per fini di archiviazione nel pubblico interesse e ricerca scientifica nella misura in cui il diritto alla cancellazione non pregiudichi tali obiettivi;
- per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria (art. 24 Cost.).
Ai sensi dell’art. 18 del GDPR, il partecipante allo studio ha il diritto di ottenere la limitazione del trattamento dei dati personali che lo riguardano quando:
- contesta l’esattezza dei dati personali;
- il trattamento è illecito;
- il partecipante allo studio ha necessità di utilizzare i suoi dati per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria benché il Titolare del trattamento non abbia più bisogno di questi dati;
- infine, quando l’interessato si oppone al trattamento dei suoi dati.
Ai sensi dell’art. 20 del GDPR, il partecipante allo studio ha il diritto alla portabilità dei suoi dati, ossia di ricevere dal Titolare del trattamento i dati personali che lo riguardano, e di chiedere al medesimo di trasmetterli ad altro Titolare del trattamento. Il Titolare del trattamento deve consegnare i dati – o trasmetterli – in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Il partecipante allo studio può esercitare il diritto alla portabilità dei suoi dati quando i:
- vi è una base giuridica (v. par. 9) in alternativa tra consenso e contratto;
- il trattamento è effettuato con mezzi automatizzati (non è possibile la portabilità di dati contenuti in modulistica cartacea).
Infine, ai sensi dell’art. 21 del GDPR il partecipante allo studio ha il diritto di opporsi in qualsiasi momento al trattamento avente come basi giuridiche (v. par. 9) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, ovvero il legittimo interesse del Titolare del trattamento.
Le informazioni sul trattamento dei dati personali devono, inoltre, contenere la possibilità che il partecipante allo studio revochi il suo consenso in qualunque momento (e senza motivazioni). In questo caso è lecito il trattamento effettuato prima della revoca del consenso. Inoltre, il consenso deve poter essere revocato con la stessa facilità con la quale è prestato; quindi, il Titolare del trattamento deve agevolare tale esercizio.
Le informazioni sul trattamento dei dati personali devono:
- contenere il diritto di proporre reclamo presso un’Autorità di Controllo;
- specificare se la comunicazione di dati personali (ai destinatari) è un obbligo di legge o contrattuale, se il partecipante allo studio ha l’obbligo di fornire tali dati e le possibili conseguenze nel caso in cui lo stesso non volesse procedere con la comunicazione;
- specificare se è in atto un processo decisionale automatizzato (art. 22 del GDPR), con la logica utilizzata, l’importanza e le conseguenze di tale trattamento.
In ogni caso, se il Titolare del trattamento avesse necessità di trattare ulteriormente i dati personali dei partecipanti allo studio per un’ulteriore finalità, sarà necessario che il Titolare informi gli interessati in merito a questo ulteriore trattamento.
7. Il consenso al trattamento dei dati
Nell’ambito delle sperimentazioni cliniche occorre provvedere alla stesura ed alla somministrazione di tue tipologie di consenso, generalmente predisposti dai promotori ed approvati dai comitati etici:
- il consenso informato alla sperimentazione clinica;
- il consenso al trattamento dei dati personali.
Il consenso informato, previsto dal Regolamento, non deve essere confuso con il consenso quale possibile base giuridica per il trattamento dei dati personali ai sensi del GDPR. Il consenso informato, infatti, risponde principalmente ai requisiti etici fondamentali dei progetti di ricerca che coinvolgono esseri umani derivanti dalla dichiarazione di Helsinki e configura come una misura che garantisce la tutela del diritto alla dignità umana e il diritto all’integrità della persona di cui agli articoli 1 e 3 della Carta dei diritti fondamentali dell’Unione europea.
Il consenso al trattamento dei dati personali, invece, deve essere prestato liberamente e deve essere specifico, informato e inequivocabile, nonché, in relazione a categorie particolari di dati come i dati sanitari, esplicito.
Le Linee Guida specificano che il promotore e i suoi eventuali collaboratori non possono utilizzare lecitamente i dati personali degli individui partecipanti allo studio clinico se non provvedono ad acquisire previamente dagli interessati, tramite i centri di sperimentazione, idonee e specifiche manifestazioni di consenso riguardo ai trattamenti di dati da essi effettuati.
Sempre secondo le Linee Guida, particolare attenzione deve essere prestata anche alle modalità con cui il consenso degli interessati viene acquisto, specialmente quando si tratta di persone che, per il loro particolare stato di vulnerabilità, sono suscettibili di essere sottoposti a forme di coercizione o influenza tali da ostacolare la libera espressione del loro consenso (si pensi a pazienti affetti da malattie incurabili o in situazioni di emergenza, a persone indigenti o ospitate nelle case di riposo o, ancora, ad appartenenti a gruppi “strutturati gerarchicamente”, come gli studenti di medicina, il personale subordinato di un ospedale o di un laboratorio, i dipendenti di una società farmaceutica, etc.).
In tali casi, è opportuno utilizzare procedure per acquisire il consenso informato degli interessati che non si limitino ad approcci meramente formali e individualizzati con i singoli individui, organizzando, ad esempio, momenti di confronto con la generalità o con gruppi di partecipanti, o coinvolgendo le associazioni, anche locali, di pazienti interessati.
8. Il trasferimento dei dati all’estero
Il trasferimento all’estero dei dati è piuttosto frequente nell’ambito delle sperimentazioni cliniche. Infatti, studi di grandi dimensioni ed importanza, che legano diversi soggetti a livello internazionale, comportano la possibilità di un trattamento di dati all’esterno dell’Unione Europea e dello Spazio Economico Europeo (SEE).
Nel caso di trasferimento di dati all’estero, devono verificarsi tre condizioni alternative:
- “decisione di adeguatezza”, qualora i dati debbano essere trasferiti in alcuni paesi (attualmente Andorra, Argentina, Canada, Isole Faer Oer, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e USA);
- accordi contrattuali, predisposti secondo modelli standard elaborati dalla Commissione Europea, stipulati tra il Titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea (quali ad esempio responsabili esterni o contitolari del trattamento), che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR);
- in assenza delle precedenti condizioni, l’articolo 49 GDPR, prevede le seguenti eccezioni – da utilizzare in limitate ipotesi e non per trattamenti continuativi – che giustificano comunque il trasferimento: (i) l’utente ha espresso esplicitamente il proprio consenso al trasferimento, una volta informato dal Titolare dell’assenza delle condizioni precedenti e degli eventuali rischi; (ii) il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il Titolare stabilito in Unione Europea, ovvero nell’esecuzione di misure precontrattuali su istanza dell’utente.
9. Sicurezza del trattamento e data breach
Nell’ambito delle sperimentazioni cliniche, sono di fondamentale importanza le misure di sicurezza per i dati personali dei partecipanti.
Ai sensi dell’Art. 32 del GDPR, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
- la pseudonimizzazione e la cifratura dei dati personali;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L’adesione a un codice di condotta approvato di cui all’art. 40 GDPR o a un meccanismo di certificazione approvato di cui all’art. 42 GDPR può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui sopra.
Il titolare del trattamento e il responsabile del trattamento devono garantire che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
Nelle Linee Guida, il Garante evidenzia la particolare delicatezza dei dati trattati nella sperimentazione, che impone l’adozione di specifici accorgimenti tecnici per incrementare il livello di sicurezza dei dati, senza pregiudizio di ogni altra misura adeguata che ciascun titolare del trattamento deve adottare. Ciò con particolare riferimento alle operazioni di registrazione con strumenti elettronici dei dati delle persone coinvolte nello studio presso i centri di sperimentazione, al loro trasferimento in via telematica verso un unico database presso il promotore o gli altri soggetti che svolgono, per conto di quest’ultimo, la validazione e l’elaborazione statistica dei dati, nonché alla gestione della medesima banca dati.
Inoltre, in relazione a tali operazioni di trattamento, i promotori di sperimentazioni cliniche di medicinali, le organizzazioni di ricerca a contratto e i centri di sperimentazione, ciascuno per la parte di propria competenza in relazione al ruolo ricoperto nel trattamento dei dati e alle conseguenti responsabilità ai fini dell’adozione delle misure di sicurezza, devono adottare:
- qualora siano utilizzati sistemi di memorizzazione o archiviazione dei dati, idonei accorgimenti per garantire la protezione dei dati registrati dai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l´applicazione parziale o integrale di tecnologie crittografiche a file system o database, oppure tramite l´adozione di altre misure informatiche di protezione che rendano inintelligibili i dati ai soggetti non legittimati);
- protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la trasmissione elettronica dei dati raccolti dai centri di sperimentazione al database centralizzato presso il promotore o gli altri soggetti che effettuano la successiva validazione ed elaborazione statistica dei dati;
- con specifico riferimento al menzionato database, idonei sistemi di autenticazione e di autorizzazione per gli autorizzati/designati in funzione dei ruoli e delle esigenze di accesso e trattamento; procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli autorizzati/designati al trattamento; sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
In ogni caso, per quanto le misure di sicurezza del settore siano molto elevate, non è impossibile che si verifichi una violazione dei dati personali (Data Breach).
Ai sensi dell’art. 33 del GDPR, in caso di violazione dei dati personali, il titolare del trattamento deve notificare la violazione all’autorità di controllo competente (in Italia il Garante Privacy) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
La notifica del Data Breach deve obbligatoriamente:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati (DPO) o di altro punto di contatto presso cui ottenere più informazioni;
- descrivere le probabili conseguenze della violazione dei dati personali;
- descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Infine, il titolare del trattamento deve documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto delle norme di cui sopra.
10. La base giuridica del trattamento dei dati personali nell’ambito delle sperimentazioni cliniche
Nel Parere, l’EDPB distingue due principali categorie di trattamenti, le quali prevedono basi giuridiche diverse:
- i trattamenti correlati a finalità di affidabilità e sicurezza;
- i trattamenti correlati esclusivamente ad attività di ricerca.
Secondo l’EDPB, i trattamenti espressamente previsti dal Regolamento correlati a finalità di affidabilità e sicurezza (quali, a titolo esemplificativo e non esaustivo, quelli svolti nel contesto di una comunicazione in materia di sicurezza o di un’ispezione da parte dell’autorità nazionale competente, o quelli relativi alla conservazione dei dati in conformità degli obblighi di archiviazione stabiliti dal Regolamento CTR o, a seconda del caso, dalla pertinente normativa nazionale) devono essere considerati come “necessari” per rispettare gli obblighi legali cui sono soggetti il promotore e/o lo sperimentatore. La relativa base giuridica è quindi rappresentata dall’“obbligo legale al quale è soggetto il titolare del trattamento” ai sensi dell’art. 6 (1) (c) del GDPR.
Qualora nell’ambito delle sperimentazioni cliniche vengano trattati dati di categoria particolare, la corrispondente base giuridica per i trattamenti di cui sopra è rappresentata dall’art. 9(2)(i) del GDPR, ovvero “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali […] la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.
Invece, secondo l’EDPB i trattamenti correlati esclusivamente ad attività di ricerca – i quali ovviamente non possono derivare da un obbligo legale – possono rientrare tra:
- i trattamenti cui l’interessato ha prestato un consenso esplicito ai sensi dell’ 6, comma 1, lett. a) del GDPR, in combinato disposto con l’art. 9 comma 2 lett. a) del GDPR;
- i trattamenti necessari per l’esecuzione di un compito di interesse pubblico, quando la conduzione delle sperimentazioni cliniche rientra direttamente nel mandato, nelle funzioni e nei compiti di un organismo pubblico o privato a norma del diritto nazionale, ai sensi dell’ 6 comma 1 lett. e) del GDPR; ovvero
- i trattamenti necessari per il perseguimento del legittimo interesse del titolare del trattamento, in tutte le situazioni in cui la conduzione di sperimentazioni cliniche non possa essere considerata necessaria per lo svolgimento di compiti di interesse pubblico conferiti al titolare del trattamento per legge, ai sensi dell’ 6 comma 1 lett. f) del GDPR in combinato disposto con l’art. 9 comma 2 lett. j)-i) del GDPR.
Il consenso del partecipante allo studio rappresenta la base giuridica principale nell’ambito delle sperimentazioni cliniche. Tuttavia, dato l’evidente squilibrio tra l’interessato (i.e. il paziente arruolato nella sperimentazione clinica) e il titolare del trattamento (i.e. lo sponsor), l’EDPB – ritenendo che il consenso non può costituire sempre una valida base giuridica per il trattamento dei dati personali – ha annoverato il legittimo interesse del titolare del trattamento tra le possibili basi giuridiche del trattamento di dati personali nell’ambito delle sperimentazioni cliniche.
In base al principio di accountability, l’individuazione di tale base giuridica quale fondamento della legittimità dei trattamenti svolti comporta la necessità, per i titolari del trattamento, di svolgere determinate valutazioni e a porre in essere specifici adempimenti al fine di garantire che l’interesse perseguito dal titolare del trattamento non prevalga sulle esigenze di tutela dei diritti o delle libertà dell’interessato.
A tal fine, il titolare del trattamento è tenuto a effettuare un’operazione di bilanciamento dei diversi interessi in gioco attraverso la predisposizione di uno specifico documento (Ligitimate Interest Assessment, “LIA”) che, oltre ad aver lo scopo di documentare tutte le valutazioni svolte dal titolare del trattamento sul tema, deve essere messo a disposizione degli interessati laddove gli stessi siano interessati a prenderne visione.
In termini generali, il bilanciamento dei diversi interessi in gioco che deve essere svolto dal titolare del trattamento deve tenere conto:
- da un lato, dell’interesse legittimo dello stesso a trattare i dati personali dei pazienti arruolati nella sperimentazione al fine di sviluppare, produrre e vendere farmaci e nuove terapie farmacologiche;
- dall’altro, l’interesse della collettività generalmente intesa (ad esempio, le aziende ospedaliere, il sistema sanitario pubblico, etc.), nonché quello dei singoli individui che – grazie alla sperimentazione clinica in cui sono coinvolti e grazie al trattamento dei loro dati personali (prevalentemente in forma pseudonimizzata) necessario alla conduzione della sperimentazione stessa – avranno accesso a nuove cure e terapie in fase di sperimentazione, la cui legittimità è garantita dal rispetto, da parte di tutti i soggetti coinvolti nelle sperimentazioni cliniche, delle GCP nonché dei principi stabiliti dalla Dichiarazione di Helsinki i quali – in termini generali – garantiscono (inter alia) la tutela dei diritti dei pazienti e della loro sicurezza.
11. Le linee guida sulla trasparenza delle informazioni di EMA dell’aprile 2022
La Guidance fornisce una serie di indicazioni operative sulla gestione delle informazioni commercialmente riservate (CCI) e dei dati personali e sulla protezione dei dati personali. Essa costituisce un utile documento che riassume e implementa le raccomandazioni già contenute nel Parere sulle tecniche di anonimizzazione.
La Guidance affronta il tema della protezione dei dati personali nell’ambito delle sperimentazioni cliniche e del CTIS, istituito dall’EMA con il Regolamento quale come unico punto di ingresso per la trasmissione dei dati e documenti relativi alle sperimentazioni cliniche e per la creazione di un Database europeo.
In primo luogo, la Guidance chiarisce che, a seconda del tipo di documento caricato, può occorrere o meno fornire una versione “per la pubblicazione” e una “non per la pubblicazione”. Nei documenti per la pubblicazione non saranno contenuti dati personali, ma solo dati anonimi (salve alcune eccezioni, in particolare i dati personali degli sperimentatori e quelli dello staff dello sponsor coinvolto); i documenti non per la pubblicazione potranno contenere dati personali, ma, in applicazione del principio di minimizzazione, si dovrà trattare di dati pseudonimizzati.
La Guidance esamina in dettaglio i principi della anonimizzazione per i dati personali dei pazienti, rifacendosi in buona misura al GDPR e al Parere. In particolare, si chiarisce che, affinché i dati siano considerati anonimi, è necessario considerare tutti i mezzi ragionevolmente utilizzabili dal titolare o da qualsiasi altro soggetto per identificare la persona in maniera diretta o indiretta. Nella valutazione della ragionevolezza dei mezzi, si deve tenere conto di fattori obiettivi, quali i costi e il tempo necessario per l’identificazione, le tecnologie disponibili al momento del trattamento e gli sviluppi tecnologici. Inoltre, si dovrebbe considerare:
- la probabilità di un tentativo di identificazione;
- la probabilità che tale tentativo abbia successo;
- le tecniche di anonimizzazione utilizzate;
- la qualità dei dati una volta che siano stati anonimizzati, soprattutto se lo scopo prefissato sia raggiungibile nonostante l’anonimizzazione.
L’anonimizzazione dei dati dei pazienti non deve essere effettuata all’interno del CTIS, ma deve avvenire al di fuori di esso; ne deriva che l’unico responsabile dell’anonimizzazione e della sua correttezza sarà il soggetto che utilizza del CTIS e che carica i documenti sul portale, il quale rimane estraneo a tale attività e dunque non assume alcuna responsabilità in relazione alla anonimizzazione.
Nei documenti non per la pubblicazione, i dati personali dei pazienti non dovranno essere anonimizzati, ma sarà sufficiente adottare tecniche di pseudonimizzazione, ovvero tecniche che riducono il rischio per i pazienti coinvolti, in quanto la loro identificazione è possibile solo con l’uso di ulteriori informazioni (ad esempio sostituendo un attributo in un record, con un altro).
12. Il riutilizzo dei dati personali a fini di ricerca
Nell’ambito della conduzione di studi clinici, un tema di particolare rilevanza per le aziende è relativo alle condizioni legali per l’utilizzo a fini di ricerca di dati personali già raccolti in precedenza, anche da soggetti terzi.
Ad esempio, gli studi retrospettivi per loro natura si riferiscono ad eventi passati ed utilizzano dati personali già archiviati, che probabilmente sono stati raccolti per finalità diverse ed il cui utilizzo richiederebbe un nuovo consenso da parte degli interessati. Problemi analoghi si pongono anche con riferimento alla creazione di banche dati e in relazione a un successivo utilizzo delle informazioni personali nell’ambito di future attività di ricerca. In questi casi, non sempre è possibile contattare i soggetti a cui i dati personali si riferiscono, o, se ciò è possibile, tale attività è spesso difficoltosa ed onerosa per le aziende.
In mancanza del consenso esplicito da parte dei soggetti interessati richiede oneri procedurali non certamente snelli a carico delle aziende.
In particolare, il trattamento ulteriore dei dati può essere autorizzato dal Garante, anche mediante provvedimenti a carattere generale, quando sussistono ragioni di impossibilità o difficoltà oggettiva nel contattare gli interessati, o comunque ne possa essere pregiudicata l’attività di ricerca (art. 110-bis del Codice Privacy).
Il provvedimento adottato dal Garante il 5 giugno 2019 contiene, fra le altre, due sezioni dedicate rispettivamente al trattamento dei dati per finalità di ricerca scientifica ed anche al trattamento dei dati genetici. Ad esempio, secondo quanto stabilito dal Garante, i campioni biologici già prelevati e i dati genetici già raccolti per scopi di tutela della salute possono essere conservati e utilizzati ulteriormente, in assenza del consenso degli interessati:
- nell’ambito di ricerche scientifiche previste dal diritto dell’Unione europea o dalla legge; o
- limitatamente al perseguimento di ulteriori scopi scientifici direttamente collegati con quelli per i quali è stato raccolto il consenso originario.
Qualora invece l’utilizzo avvenga nell’ambito di progetti di ricerca diversi da quelli originari ed al di fuori dei casi di legge – e non sia possibile informare gli interessati – la conservazione e l’ulteriore utilizzo sono possibili qualora una ricerca di analoga finalità non possa essere realizzata mediante il trattamento di dati riferibili a persone delle quali può essere acquisito il consenso. Inoltre, il programma di ricerca deve comportare l’utilizzo di campioni biologici e dati genetici che non consentano, quantomeno dopo l’ulteriore trattamento, l’identificazione degli interessati. In alternativa, il programma deve essere oggetto del parere motivato da parte del competente comitato etico ed in seguito sottoposto a preventiva consultazione del Garante.
Avv. Valerio Pandolfini
Avvocato specializzato in diritto farmaceutico
Per altri articoli su farmacie e diritto farmaceutico visitate il nostro blog.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni di seguito riportate non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie descritte. Di conseguenza, il presente articolo non costituisce un(né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.